Zadbaj o swoje bezpieczeństwo w sieci

Dopóki nas to nie spotka – traktujemy cyberataki i próby kradzieży pieniędzy z naszego konta jako odległą i niedotyczącą nas bezpośrednio perspektywę. W rzeczywistości ofiarą cyberprzestępców może paść każdy. Dlatego warto zawczasu wiedzieć, co wówczas robić.

Jak Polacy oceniają swoją wiedzę na temat cyberprzestępstw? Z danych Komisji Europejskiej, które przywołuje Związek Banków Polskich w raporcie „Cyberbezpieczny portfel” (styczeń 2020 r.), wynika, że 53 proc. z nas jest „bardzo dobrze” i „raczej dobrze” poinformowanych w tym zakresie. „Raczej słabo” swoją wiedzę oceniło 23 proc. ankietowanych, 17 proc. natomiast wybrało odpowiedź „bardzo słabo”.

Pomimo tego, że coraz chętniej korzystamy z rozwiązań cyfrowych, to jednak – wskazują na to wnioski płynące z tego samego opracowania ZBP – mamy raczej średnią wiedzę na temat nowoczesnych płatności (53 proc. ankietowanych tak odpowiedziało) i ochrony danych osobowych (52 proc.). Jednocześnie 90 proc. Polaków czuje się bezpiecznie, korzystając z bankowości elektronicznej, mimo że 65 proc. słabo ocenia swoją wiedzę z obszaru cyberbezpieczeństwa (za ZBP).

Kwestia świadomości

Gdy zgubimy kartę płatniczą, staramy się jak najszybciej ją zablokować. Bez względu na to, czy robimy to przez aplikację mobilną, bankowość internetową czy dzwoniąc na specjalny numer – system zastrzegania kart (828 828 828) – po chwili możemy odetchnąć z ulgą. Gdy zgubimy dowód osobisty, zastrzegamy go przez system Dokumenty Zastrzeżone, dzięki czemu informacja dociera natychmiast do wszystkich instytucji finansowych. Znów możemy odetchnąć z ulgą, że nikt już nie zaciągnie na nas kredytu lub pożyczki, nie wynajmie samochodu lub pokoju w hotelu bądź nie założy konta w banku. Wiemy, że zgubienie dowodu tożsamości wiąże się z wysokim ryzykiem, dlatego nie bagatelizujemy tego i staramy się działać szybko.

Dlaczego więc podobnych zasad bezpieczeństwa nie stosować podczas codziennego funkcjonowania w sieci… Tym bardziej że coraz więcej spraw jesteśmy w stanie, także tych finansowych, zrealizować online.

Problem w tym, że wciąż dla wielu z nas ataki hakerskie wydają się czymś odległym, co nie dotyka nas bezpośrednio. Przypominamy sobie o nich w momencie, gdy doszło do dużego wycieku danych, ataku na znaną firmę lub instytucję, gdy tematem interesują się media, opisujące na czołówkach gazet to konkretne zdarzenie. Wtedy zaczynamy zadawać sobie pytania: czy jestem w sieci bezpieczny, czy moje pieniądze są bezpieczne…

Ryzyko straty pieniędzy

Cyberprzestępcy nie ustają w wysiłkach, by doskonalić sposoby na kradzież pieniędzy i danych osobowych. Gdy spada skuteczność jednych rozwiązań, zaczynają stosować inne, by tylko osiągnąć swój cel. A jest nim zdobycie haseł do bankowości, danych kart płatniczych (i kodu CVC), kodów autoryzacyjnych. Aby tego dokonać, stosują różne metody: wysyłają linki do bliźniaczo podobnych stron banków (po tym, gdy się zalogujemy, uzyskują oni dostęp do konta); linki, po naciśnięciu których instalowane jest złośliwe oprogramowanie (zbiera dane np. z klawiatury, udostępnia informacje z komputerów lub telefonów), nakłaniają do instalacji „zdalnego pulpitu”. W efekcie są w stanie wyczyścić rachunek bankowy ze wszystkich pieniędzy.

Nie zawsze mają oni na celu od razu kradzież środków z banku. Niekiedy polują po prostu na dane osobowe, PESEL i numer dowodu osobistego. Niekoniecznie od razu będą próbować z tak pozyskanych informacji skorzystać, by zaciągnąć pożyczkę lub kredyt. Skutki utraty takich danych mogą być jednak bolesne. Przestępcy mogą założyć działalność gospodarczą, która posłuży za tzw. słupa w procesie wyłudzania podatków lub towarów od innych firm; mogą też podpisać abonament telefoniczny i wziąć telefon na raty, tak samo zresztą jak wypożyczyć samochód przez jedną z aplikacji online. Konsekwencje utraty danych osobowych mogą pojawić się po kilku miesiącach od ich pozyskania przez przestępców. I spadną one na niczego niepodejrzewającą ofiarę ataku.

Lepiej zapobiegać

„Blisko co czwarty Polak boi się, że w czasie pandemii padnie ofiarą hakerów wyłudzających dane osobowe. Równocześnie blisko 60 proc. respondentów nie wie lub nie jest pewna, jakie działania należy podjąć w takim przypadku” – takie wnioski płyną z badania przeprowadzonego przez Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych. Mało tego, 30 proc. Polaków nie dba o to, by hasło do logowania w banku lub serwisie internetowym było odpowiednio trudne, a ponad 20 proc. ankietowanych nigdy go nie zmieniło.

Niekiedy samodzielnie udostępniamy dane wrażliwe, nierzadko nie zdając sobie sprawy z efektów tak nieodpowiedzialnego działania. By ustrzec się przed atakami cyberprzestępców, często wystarczy przezorność i zachowanie podstawowych zasad bezpieczeństwa. A to oznacza przede wszystkim stosowanie zasady ograniczonego zaufania: tak w odniesieniu do innych osób, jak i stron internetowych czy otrzymywanych wiadomości.

Złodzieje mogą wykorzystywać różne techniki, by wzbudzić zaufanie i przekonać nas do zrobienia wszystkiego, o co proszą. Z jednej strony będą odnosić się do naszej potrzeby szybkiego wzbogacenia się, z drugiej – do obaw, że stracimy oszczędności życia. Gdy w przypadku jednych zadziała gotowość do pomocy bliskim i znajomym, w stosunku do innych zwykła nieostrożność lub ciekawość.

Komisja Nadzoru Finansowego w poradniku „Uwaga! Cyberoszust” przypomina o podstawowych zasadach bezpieczeństwa w sieci. Po pierwsze instytucje finansowe nigdy nie proszą o instalowanie jakiegokolwiek oprogramowania, tym bardziej dającego zdalny dostęp do naszych urządzeń. Po drugie, masz prawo domagać się czasu na analizę kolejnych kroków, na przejrzenie dokumentów oraz świadomą decyzję. Gdy emocje opadną – zadzwoń i zweryfikuj osobę, z którą rozmawiałaś, niezależnie od tego, czy to dzwonił rzekomo pracownik banku, domu maklerskiego, instytucji nadzorczych, podatkowych lub funkcjonariusz policji.

Jeśli masz jakiekolwiek podejrzenie, że może kontaktować się z tobą osoba, która nie jest tym, za kogo się podaje, niezwłocznie się rozłącz, a w razie konieczności udaj się do najbliższego oddziału lub placówki i wyjaśnij wszystko vis-à-vis z pracownikiem danej instytucji. Nie ulegaj presji czasu – to najczęściej zły doradca.

Po trzecie, nie udostępniaj nikomu poufnych danych, np. numerów dokumentów, numeru swojej karty płatniczej, kodu CVC, ani danych logowania do systemu bankowego. Po czwarte, jeśli podejrzewasz oszustwo, zgłoś je organom ścigania.

Warto stosować też wszystkie dostępne formy zabezpieczeń, w tym podwójne uwierzytelnianie. Nie warto też dodawać żadnych urządzeń i stron internetowych do grona zaufanych. Nawet jeśli mamy taką możliwość, a z danego sklepu internetowego lub z aplikacji korzystamy często – lepiej za każdym razem potwierdzać transakcję np. BLIK-iem dodatkowo w aplikacji mobilnej niż ryzykować. Do tego dochodzą też te podstawowe i powtarzane za każdym razem zasady, by nie otwierać załączników od nieznanych nadawców i źródeł, sprawdzać, czy strona www ma certyfikat bezpieczeństwa, aktualizować oprogramowanie, nie korzystać z otwartych Wi-Fi do logowania z bankiem, czytać treść SMS przed potwierdzeniem transakcji i zawsze sprawdzać numer konta. I kluczowe: nie używać jednego hasła do wszystkiego i cyklicznie je zmieniać. Co robić jednak, gdy mimo wszystko padliśmy ofiarą złodzieja?

Liczy się czas

Czasami wystarczy chwila nieuwagi, by wpaść w pułapkę cyberprzestępców. W takich sytuacjach liczy się czas. Zablokowanie karty płatniczej – a w razie konieczności dowodu osobistego – to pierwsze kroki. Gdy złodzieje ukradli nasze pieniądze z konta, realizując nieautoryzowaną transakcję, należy jak najszybciej powiadomić o tym bank. W oddziale otrzymamy wyciąg z konta, z którym należy udać się na policję, gdzie opiszemy dokładnie zdarzenie: jak doszło do oszustwa, jak wywiązał się kontakt, jak przebiegała – w miarę możliwości – cała rozmowa.

Rzecznik finansowy przypomina z kolei, że przepisy określają termin zwrotu środków wynikających z nieautoryzowanej transakcji w oparciu o tzw. zasadę D+1. Zgodnie z nią pieniądze powinny wrócić na rachunek bankowy klienta nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania zgłoszenia od klienta. Jedynym wyjątkiem od tej zasady jest uzasadnione i należycie udokumentowane podejrzenie próby oszustwa ze strony klienta.

bj